我正在考虑如何解决我的身份验证问题。
我有一个带有管理区域的MVC站点,该区域将用于客户输入,并且很容易有formauthentication来保护管理区域,但我的问题是其他用户可以编辑其他用户的东西那不是我想要的=(。
我之前的网站只处理了一个网站的身份验证,而formauthentication处理了我的所有问题,但该网站应该能够处理X用户和X客户的身份验证。
例如,user1登录到user1管理区域(mysite / customer1),但登录后将url更改为mysite / customer2并开始编辑内容。
一个解决方案是在global.asax和FormsAuthentication_OnAuthenticate中检查网址但是必须有更好的方法来解决这个问题吗?也许我错过了一些明显的东西?
答案 0 :(得分:0)
如果用户登录(user1)后,您将其userId(或某些唯一标识符)保存到声明或会话中。然后只需要制作一个页面mysite / customer,它将读取该ID并带回一个人的记录。所以这样他们将看到的唯一记录是与他们的Id相关联的记录,你不必为其他用户一遍又一遍地制作相同的页面,所以没有mysite / customer1,mysite / customer2,mysite / customer3 ......等。